wirelurker

wirelurker
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
事件跟踪：关于iOS平台木马WireLurker的分析 Sphinx专栏作者2014-11-10金币奖励+5共285478人围观 ，发现 7 个不明物体 头条系统安全
WireLurker_Wide.png

最近出现了一款名为WireLurker的针对iPhone和Mac OSX平台的恶意软件。也许大家对这个事情已经并不陌生，但刨根问底总是必要的，现在让我们一起来看看细节吧。
这个能够感染iPhone和Mac OSX平台的恶意软件，名为WireLurker。网络安全公司Palo Alto发现了这一威胁，并发布了一份详细的报告。卡巴斯基将WireLurker使用的可疑文件以以下病毒名称予以拦截：

Mac OS X:

Trojan-Downloader.OSX.WireLurker.a
Trojan-Downloader.OSX.WireLurker.b
Trojan.OSX.WireLurker.a
苹果 iOS:

Trojan-Spy.IphoneOS.WireLurker.a
Trojan-Spy.IphoneOS.WireLurker.b
Windows:

Trojan.Win32.Wirelurker.a
2014年7月，我们发现WireLurker恶意软件会连接到位于香港的C&C(远程命令和控制)服务器。在接下去的几个月中这些连接依然存在，只是连接数量始终很低。

初现江湖

有趣的是，今年早些时候某些论坛上已经有关于这个病毒的讨论了，尤其是在中文和韩文的论坛，在某些英文论坛中也有。

Screen-Shot-2014-11-06-at-5.38.17-PM.png

7月14日，有一位名为SirBlanton的用户在某中文论坛上提到了这个恶意软件：

Screen-Shot-2014-11-06-at-5.40.05-PM.png

这个帖子是发布在"bbs.maiyadi.com"这个论坛上的，非常有趣，"maiyadi.com"下另一个子域名被恶意软件用作了C&C服务器(见下文)。

5月29日，某个韩国论坛也提到了被此病毒感染后的一台Mac OS X的反常行为：

Screen-Shot-2014-11-06-at-5.42.21-PM-1024x613.png

Mac OS X和苹果iOS并非能够传播病毒的所有平台。Alienvault公司的Jaime Blasco发现了一个与之相关的Win32恶意程序。

WireLurker Windows组件

文件名: 万能视频播放器 2.21.exe md5: fb4756b924c5943cdb73f5aec0cb7b14

16-150x150.png

如果时间戳没有被改动过，程序应该编译于2014年3月：

22.png

完整元数据集:

Machine Type : Intel 386 or later, and compatibles
Time Stamp : 2014:03:13 03:56:21-04:00
PE Type : PE32
Linker Version : 10.0
Code Size : 721920
Initialized Data Size : 1364480
Uninitialized Data Size : 0
Entry Point : 0xafb86
OS Version : 5.1
Image Version : 0.0
Subsystem Version : 5.1
Subsystem : Windows GUI
File Version Number : 1.0.0.1
Product Version Number : 1.0.0.1
File Flags Mask : 0x003f
File Flags : (none)
File OS : Windows NT 32-bit
Object File Type : Executable application
File Subtype : 0
Language Code : Chinese (Simplified)
Character Set : Unicode
File Description : 绿色IPA安装器
File Version : 1.0.0.1
Internal Name : 绿色IPA安装器.exe
Original Filename : 绿色IPA安装器.exe
Product Name : 绿色IPA安装器
Product Version : 1.0.0.1
文件的内部名称为"绿色IPA安装器"。这应该是用来在iOS设备上安装IPA文件的程序。

程序中暴露了一条调试路径：

E:\lifei\libimobiledevice-win32-master_last\Release\appinstaller.pdb
程序包含了两个IPA(Apple程序应用文件)，一个叫做"AVPlayer"，另一个叫做"apps"。
AVPlayer.app似乎是一个正规的iOS应用，被攻击者用来伪装。

这是程序的icon图标：

42.png

AVPlayer似乎是由一位"teiron@25pp.com"开发者开发的。

234-267x300.png

第二个IPA程序更加有趣：

001.png

程序似乎是于2014年3月创建。"apps"程序与臭名昭著的"comeinbaby[.]com"进行通信：

002.png

而sfbase.dylib与另一个C&C进行通信:

003.png

这个Win32程序的目的是应该就是为了确保Windows用户也会将恶意软件感染到iOS设备。

KSN检测到的情况

卡巴斯基安全网络(KSN)是卡巴斯基的用来收集、检测可疑程序的数据库。下图显示的是在OSX上检测到的WireLurker：

62.png

如图所示，超过6成的感染来自中国。

总结

这次事件又是一记警钟，提醒我们无论使用的是什么平台，使用盗版(非正规)软件依旧存在风险。从非官方来源下载应用程序，比如从别的应用市场，文件分享网站或者通过种子或其他P2P文件分享网络下载都会增加感染恶意软件的风险。

在Mac OS X设备中也应该要安装反病毒软件，不仅是Mac OS X设备可能被感染病毒，WireLurker的案例中，病毒能从你的Mac传播到你的iPhone。

作为第一道防线，Mac OS X用户们应该检查”安全性与隐私”中的设置是安全的。建议开启Gatekeeper功能（”系统偏好设置”>”安全性与隐私”，在”允许从以下位置下载的应用程序”中，选中”App Store和被认可的开发者”，更加详细的信息参见此）。

您亦可参考卡巴斯基对Mac安全的指导：关于Mac安全的10条小贴士

更多信息:

C&C服务器:

app.maiyadi[.]com
comeinbaby[.]com
61.147.80.73
124.248.245.78
MD5校验值:

3fa4e5fec53dfc9fc88ced651aa858c6
5b43df4fac4cac52412126a6c604853c
88025c70d8d9cd14c00a66d3f3e07a84
9037cf29ed485dae11e22955724a00e7
a3ce6c8166eec5ae8ea059a7d49b5669
aa6fe189baa355a65e6aafac1e765f41
bc3aa0142fb15ea65de7833d65a70e36
c4264b9607a68de8b9bbbe30436f5f28
c6d95a37ba39c0fa6688d12b4260ee7d
c9841e34da270d94b35ae3f724160d5e
dca13b4ff64bcd6876c13bbb4a22f450
e03402006332a6e17c36e569178d2097
fb4756b924c5943cdb73f5aec0cb7b14
[参考信息来源Securelist，Sphinx翻译并有适量删改，转载请注明来自Freebuf.COM]

Sphinx
Sphinx
412 篇文章
等级： 9级
||
上一篇：剑走偏锋：细数Shell那些事下一篇：一枚邪恶的输入法浅析
这些评论亮了

XX 回复
有人已经把作者找出来了。http://ww2.sinaimg.cn/large/6a84be4bgw1elysm38xznj20c8ayae81.jpg
)17(亮了
发表评论已有 7 条评论

DDOS (1级) 2014-11-10回复 1楼
好厉害

亮了(1)

yyyy3333 2014-11-10回复 2楼
李飞你明天到我办公室来一下。。。。 感觉说这话的时候 好屌呀

亮了(5)

XX 2014-11-10回复 3楼
有人已经把作者找出来了。http://ww2.sinaimg.cn/large/6a84be4bgw1elysm38xznj20c8ayae81.jpg

亮了(17)

/mg凤舞九天 (2级) 2014-11-10回复 4楼
那个软件连到上面那个服务器，要做什么啊？

亮了(2)

/mg凤舞九天 (2级) 2014-11-10回复 5楼
我去。。。照片都爆出来了。。。这。。。现在是非法的。。。亲，你知道吗？

亮了(1)

Delcab (1级) 2014-11-10回复 6楼
照片爆出来了，

亮了(1)

撸到哭 2017-10-09回复 7楼
这你妈也叫分析？

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Sphinx
Sphinx专栏作者

这家伙太懒了，什么都没写

412
文章数
89
评论数
最近文章
BUF 早餐铺 | Facebook再曝数据丑闻：1.2亿用户数据面临泄露风险；自2012年以来，所有Android设备都受到RAMpage漏洞的影响；Gentoo GitHub镜像被黑客攻击
2018.07.02

BUF 早餐铺 | WebAssembly的修改会使得Meltdown和Spectre补丁失效；英国税务局记录了510万英国人的声音；苹果回应iPhone密码被暴力破解：测试是错误的
2018.06.26

快讯 | 黑龙江高考查分官网瘫痪，查询入口被微信封锁
2018.06.25

浏览更多
相关阅读
闭关修炼半年，曾定向攻击台湾大选的APT组织再度回归一个人的武林：内网渗透测试思路（二）Google出台新的安全机制保证安卓用户安全上网一周海外安全事件回顾（20140505-0511）打造“免杀”的恶意程序需要多久？用这个工具，只要几分钟
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank